McAfee 防病毒系统技术特色.docx

1、McAfee 防病毒系统技术特色McAfee 防病毒系统技术功能对您的网络的威胁来自四面八方，而且每天都在变化。如何去面对这些威胁呢？答案是采用全面的多层病毒防护和有效的管理工具。McAfee的防毒产品就具有这些特性并且可以为您提供更多功能。ePolicy Orchestrator可以实现对桌面设备、文件服务器、群件服务器和互联网网关的综合保护 并且是将所有这些项目都集中在一个统一的防护方案之内。借助McAfee，您的系统可以获得彻底的保护。甚至可以包括您的PDA。McAfee Security解决方案可以为企业客户提供业内领先的防毒产品。McAfee Active Virus Defense

2、 (AVD)产品套件是一个多层协作的病毒防护系统，其中包括VirusScan（用于桌面保护）、NetShield（用于Novell服务器保护）、GroupShield （用于群件保护）和WebShield（用于互联网网关保护）。McAfee还通过ePolicy Orchestrator（集成ThreatScan）和Anti-Virus Informant提供了您可以用来管理和加强企业病毒安全策略以及对防毒产品进行更新和进行统计报告所需的所有工具。利用AutoUpdate、Enterprise SecureCast和Management Edition，管理员可以完全控制安全管理和报告的所有特性

3、。McAfee强大的反病毒研究团体McAfee AVERT（反病毒紧急响应与预防小组）全力以赴为其产品提供支持，保护McAfee客户免受最新和最复杂病毒的攻击。1.1 EPOMcAfee Security 的 ePolicy Orchestrator 是业界领先的管理工具，它能够集中地对防护性能进行协调和管理，从而帮助您实现上述两方面之间的平衡。其功能包括部署、全面的策略管理、更新以及涵盖多个安全层和多个供应商的详细的图形报告。管理员能够将防护功能更新到最新状态，对策略进行管理，并生成针对 McAfee、Symantec 和 Dr. Ahn 的防病毒产品，以及 McAfee Desktop F

4、irewall 和 McAfee ThreatScan 的详细图形报告。更新速度有多快？对安全策略进行前瞻性管理时，最困难的一个环节就是保持所有的系统都更新到最新的防护性能。ePolicy Orchestrator 在设计时考虑了企业伸缩性的要求，在绝大多数环境下，它能够在单一服务器上进行工作。其智能设计使得服务器不会承担任何的更新任务。所有的更新任务都分散在整个网络中，通过利用分布式知识库，实现了较低的网络流量和较高的性能。更新内容包括所有的 McAfee DAT、引擎、服务包、修补程序以及补丁程序。ePolicy Orchestrator 启用了 Express Global Updati

5、ng，从而实现了前所未有的更新速度。通过使用“SuperAgents”将通信和更新负载分布到整个网络中，Express Global Updating 极大地提升了更新速度，使得 IT 管理员能够在一小时内完成 50,000 个系统的更新任务 所有更新都通过 ePolicy Orchestrator 强大的报告系统来进行验证。这不仅节省了带宽资源，而且极大地提升了用户对各种新威胁的响应能力。X 射线般的透明度你无法管理那些你看不到的东西 ePolicy Orchestrator 为您提供了所需的透明度，帮助您评估策略的效率，发现网络中的薄弱环节。通过 ePolicy Orchestrator

6、中预先设定的三十多种报告，您可以轻松地定位没有受到保护的系统、跟踪突发事件的来源、并评估安全策略的效率。无论是只有一页的安全性摘要，还是有关病毒活动、桌面防火墙策略和致命漏洞的详细报告，都能够向您展现完整的信息。您还可以简单地对报告进行自定义，以便符合自己的具体要求。管理员还可以随意选择一些可以打印和导出的图表类型，包括三维条状图、饼图、折线图以及表格等。ePolicy Orchestrotor 集成了 Seagate Crystal Reports 技术和 Microsoft 的 MSDE/SQL 服务器，通过对简单性和整体性能的平衡来满足各种规模企业的需求。简化的企业策略管理ePolicy

7、 Orchestrotor 的设计考虑了企业对伸缩性的要求，每台服务器可管理多达 250,000 个用户，并可以通过远程控制台简单地进行操作。所管理的策略涵盖了恶意代码防护的每一个层面 更新频率、个人防火墙设置、漏洞扫描、需要扫描的文件类型以及扫描预设 都可以集中设置到每一台机器或每一个组中，而且完全可以由管理员来自定义设置。所有性能都可以自动增强，确保了防护性能的全面性和有效性。小型企业的需求一直在我们的考虑之中通常，小型企业没有相关专业人员，也没有足够的时间来关注对恶意代码的防护。Small Business Wizard 提供了防护功能和安全策略简单快捷的部署功能，并针对小型企业环境进行

8、了优化。只需五个简单的步骤，即可将 ePolicy Orchestrator 自动部署到网络中可用的系统中 部署防护功能，实施安全策略。所有操作都无须具备全面的安全性知识。充分利用您的安全性投资扩展性和行业支持一直是 ePolicy Orchestrator 的关键所在。McAfee 提供了第一款针对第三方防病毒应用程序（例如 Symantec 和 Dr. Ahn 的产品）的管理和报告工具，并通过 ePolicy Orchestrator Fusion Service 帮助企业进一步扩展其安全投资的价值。这些服务由 McAfee 专家服务提供，允许 ePolicy Orchestrator 集

9、成其它第三方安全应用程序 将同等水平的集中控制和透明度扩展到其它第三方安全产品上。保护远程用户有了 ePolicy Orchestrator，安全管理员再也不会谈“移动用户”而变色。即使远程膝上型电脑没有连接到网络中，管理员也可以通过增强安全策略，使远程用户在连接到 Internet 时再进行更新，这样一来，ePolicy Orchestrator 就能够有效地管理哪些平时得不到管理的环节。由于移动用户对灵活性的要求比较高，因此，ePolicy Orchestrator 自动允许移动用户通过距离自己最近的、带宽资源最有效的服务器来完成更新任务，此外，还提供了对可推迟更新和可继续更新的支持。总的

10、来说，ePolicy Orchestrator 确保了移动用户能够像局域网用户一样得到全面的保护，并同样易于管理。全面解决实际问题McAfee 很清楚客户所面临的挑战，因此推出了 ePolicy Orchestrator 来帮助您克服这些困难。需要用多种语言来管理防护功能吗？没问题。需要同时管理传统防病毒产品和最新应用程序吗？很简单。需要不同的管理员来管理网络的不同部分吗？可以。希望同时拥有 Windows 和 NetWare 文件服务器吗？没问题。Exchange Server 和 Domino Server 同时存在？可以。需要添加桌面防火墙吗？很简单。针对客户需求而设计，ePolicy

11、Orchestrator 能够轻松解决所有这些问题。突发事件响应突发事件响应是 ePolicy Orchestrator 的核心功能。有了 ePolicy Orchestrator，管理员就能够针对不同的威胁指定特有的响应模式。有些紧急情况需要您立即更新所有的机器，此时，服务器能够向所有代理发出“立即更新”的命令，并在整个网络中完成更新。有时，突发事件可能需要更改桌面防火墙的安全策略，或者要求更新或更改网关上的安全策略。借助 ePolicy Orchestrator，您就能够针对目前的问题做出快速响应。此外，ePolicy Orchestrator 的报告功能可以协助您轻松完成经常性的审核或者

12、“突发事件评估”，使您可以很容易地得到自己所需要的数据，保持恶意代码防护策略的有效性。两个关键问题在防御恶意代码的过程中，您可能会遇到很多问题，其中有两个是最为重要的。第一个是“我们是否得到了保护？”，第二个是“我们是否已经被感染？”。ePolicy Orchestrator 能够回答这两个问题 验证并确保您的防护功能的有效性，并显示出您的薄弱环节。1.1.1 ePO 3.6技术特色 前瞻性漏洞评估 ePO 能够抢在病毒和蠕虫之前首先发现系统中的安全缺口，它不仅能够对安全策略的一致性进行扫描（包括 Microsoft 安全补丁），而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻

13、击的设备。 发现Rogue计算机：能够探测外部计算机接入网络，并且向管理员发出报警。 成熟高效的企业更新过程 可采用完全自动或完全手动两种模式来完成更新，不仅速度快、占用带宽资源非常少，而且还可以通过一致性报告进行验证；Express Global Update 则可以在不到一小时的时间里完成 50,000 个系统的更新 完善的通知系统1.1.2 服务器和控制台系统要求 Windows NT 4.0, SP 6a、Windows 2000 Advanced Server, SP1、SP2 或 SP3、Windows 2000 Server, SP1、SP2 或 SP3、Windows 2003

14、 Enterprise、Standard 或 Web。 250 节点以下需要 233MHz 的处理器；250 节点以上需要 500MHz 或更高的处理器（有关大型环境的要求，请参阅安装指南） 1GB 空闲磁盘空间 NTFS 分区 128MB RAM 250 节点以上推荐使用专用服务器 有关磁盘空间和数据库软件要求的完整信息，请参阅 ePolicy Orchestrator 安装指南1.1.3 代理系统要求 Windows 95/98、Windows NT Server 4.0 SP4、SP5、SP6 或 SP6a、Windows NT Workstation SP4、SP5、SP6 或 SP6

15、a、Windows 2000 Advanced Server, SP1、SP2 或 SP3、Windows 2000 Server, SP1、SP2 或 SP3、Windows 2000 Professional SP1、SP2 或 SP3、Windows 2000 Datacenter SP1、SP2 或 SP3、Windows Me、Windows XP Professional SP1、Windows 2003 Enterprise、Standard 或 Web NetWare 4.2、4.6、5.0、5.1、6.0 或者 6.11.1.4 技术支持McAfee 的所有产品由 Prime

16、Support 和 McAfee Laboratories 提供支持。PrimeSupport 服务针对客户企业的需求而定制，提供基本的产品知识和快速、可靠的技术解决方案，以确保客户企业的顺利运营。McAfee Laboratories 是全球信息系统和安全技术的领导者，向客户保证了我们将不断开发和完善我们所有的产品。1.2 VirusScanMcAfee VirusScan 8.5i 进一步提高了病毒防护功能，将入侵防护功能与防火墙技术集成于针对计算机和文件服务器的单一解决方案中。 这种强有力的结合为用户提供了极具前瞻性的防护，使其免受当今最新威胁的侵扰包括缓冲区溢出和混合病毒的攻击并提供先

17、进的病毒突发管理响应功能，从而能够减少损失和病毒突发带来的成本费用。 McAfee ePolicy Orchestrator 或 ProtectionPilot 提供全面管理，便于遵守易于扩展的安全策略，并进行图形报告编制。1.2.1 主要优势VirusScan Enterprise 8.5i 集成的防火墙与HIPS 技术 防火墙与入侵防护技术的集成使VirusScan具有最大限度的前瞻性防护功能，包括Block蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用Buffer Overflow漏洞的蠕虫病毒。 对新威胁增强防护 VirusScan 8.5i 提供了对最新出

18、现的、危及程序安全的恶意威胁（例如， “间谍”软件）、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。 端口阻塞病毒突发期间的低成本响应 先进的 outbreak 功能可在 DAT 文件出现之前就关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度。 McAfee 扫描技术 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如 Netsky 和 CodeRed) 所带来的威胁。 访问控制阻止未知蠕虫病毒 通过访问控制，保护某些目录，可以阻止蠕虫病毒传染计算机。1.2.2 产品功能全方位的 McAfee 病毒防护McAfee 防病毒扫描引擎

19、能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的 ActiveX 和 Java 对象。 VirusScan 采用的防病毒技术能够对压缩数据进行深入分析，因而能够检测出隐藏在 .zip 或其他类型压缩文件中的威胁。 先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。潜在“垃圾”程序安全VirusScan 能够自动检测“垃圾”程序，有效防止隐藏程序跟踪企业和用户的 Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞

20、。 当 ViruScan 侦测到“垃圾”程序时，用户或管理员可选择让 ViruScan 作出下列回应之一（警告、清除、删除、和隔离）。 管理员甚至可以按公司定义一个“垃圾”程序列单，如“adware、dialers 或 joke 程序，从而使公司的端点系统“COE compliant”。缓冲区溢出防护（IPS 功能）VirusScan 8.5i 可防护大约 20 种最常用的软件应用程序和 Microsoft Windows OS 服务，其中包括 Microsoft Word、 Excel、Internet Explorer、Outlook 和 SQL Server。 必要时，管理员还可以按程序

21、指定例外情况。全面的病毒突发回应VirusScan 8.5i 内设的病毒突发回应功能可在生成 DAT 文件之前就提供 有效防护，这使得管理员可以在发现病毒之后、接到 DAT 文件之前对严重的漏洞口采取及时的行动。 突发回应功能包括： 端口阻塞/锁定（防火墙功能）允许管理员或用户“关闭”（阻塞）特定的端口，使传出或传入的网络流量无法进行端口（例如，对于 MyDoom，应该堵塞端口 #3196;而对于 Bagel.n，应堵塞是端口 port #2556）。 应用程序监控：电子邮件引擎（防火墙功能）允许管理员阻塞传出端口，但制定允许某些程序通过已阻塞端口进行交流。 例如，管理员有可能阻塞了传出流量的

22、端口 25，但却允许 outlook.exe 通过该端口进行传出交流。 如果开启了该功能，NetSky 和 MyDoom 当时就不可能溜出系统了。 文件锁闭、目录锁闭、文件夹/share 锁闭（IPS 功能）按系统或传入的网络程序来生成用策略，用以控制已获授权、可能发生在特定文件、目录或文件夹/share 等（所使用的名称格式中含文字、通配符）的行动。 例如，为名为 Sasser 的蠕虫制定的策略有可能会影响到阻塞 avserve*.exe, skynetave.exe, lsasss.exe, napatch.exe, *_up.exe, cmd.ftp, ftplog.txt, winlo

23、g2.*, 和 win*.log。 传染追溯与拦截VirusScan 可以发现和追溯将恶意代码发送到运行 ViruScan Enterprise 8.5i 的端点系统的 IP 地址（传染源），并将传染源信息发送会管理控制台。 另外，它还可以使来自传染源端点系统的信息交流被阻塞一段时间（可配置的）或使其始终受阻（直到重新另行设置后）。强大的内存扫描VirusScan 8.5i增强了扫描功能，包括可以对病毒、蠕冲和木马进行“按需扫描”或“定时的存储扫描”。 也就是说，VirusScan 能够抵御多种诸如 CodeRed 和 SQLSlammer 的威胁因素，虽然此类威胁不会将代码写入到磁盘中，但

24、VirusScan Enterprise 却可以从内存中直接清除掉它们的进程。 集中的管理和报告功能VirusScan 8.5i 集成了 McAfee ePolicy Orchestrator，唯一名副其实易于扩展的安全策略管理工具之一，从而可提供策略干练、详细的图形报告编制和软件部署。 ePolicy Orchestrator 具有促进防护实施的集中授权，可提供一个单一的控制台，以管理您的 McAfee 部署。 另外，小型和中型企业还可以利用用户友好的 McAfee ProtectionPilot 管理控制台来简化管理和监控程序。增强的电子邮件扫描功能VirusScan 8.5i 除了对 M

25、icrosoft Outlook 的邮件进行扫描外，还可以将发送到桌面机的所有 Lotus Notes Clients 电子邮件（包括 HTML 文本和附件）进行扫描。 还可以对安装了 Outlook 和 Lotus 这两种电子邮件接发软件的系统提供支持。对使用脚本带来的威胁的防护VirusScan 8.5i 可以通过侦测和防止利用 JavaScript 和（或）Visual Basic (VB) 脚本（例如，Nimda 或 LoveLetter）实施的恶意代码而导致的感染。针对移动用户的优化功能区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化，较小的文件规模也使得用户能够轻

26、松地通过连接速度较慢的网络（例如拨号连接）来下载更新文件。 借助于可恢复的更新功能，即使远程用户的网络连接被中断，他们也仍然能够在其它时间从中断处继续下载更新文件。 1.2.3 系统要求 注意：以下列出的仅为最低系统要求。 实际需求视客户的具体环境而定，可能有所不同。工作站要求 Pentium 或 Celeron 处理器，最低运行频率 166MHz 32MB RAM 最小硬盘空间 10MB，建议保留 20MB 硬盘空间 Windows NT 4.0 SP6 或更高版本 Windows XP Home 和 Professional SP1 Windows 2000 Professional SP

27、1 或更高版本 Microsoft Internet Explorer 4.0 或更高版本 注意：VirusScan 4.5.1 支持 Microsoft Windows 95/98/ME服务器要求 Pentium、Celeron 或 Itanium 处理器，最低运行频率 166MHz 32MB RAM 20MB 硬盘空间 Windows NT 4.0 Server SP6 或更高版本；Windows NT 4.0 Enterprise Server SP6 或更高版本 Windows 2000 Server SP1 或更高版本；Windows 2000 Advanced Server SP1

28、 或更高版本 Windows Server 2003：Standard、Enterprise 或 Web Edition Microsoft Cluster Server (MSCS) 支持的其他平台：Citrix MetaFrame 1.8 和 XP；EMC Celerra 文件服务器 Microsoft Internet Explorer 4.0 或更高版本1.3 McAfee ThreatScan（集成在EPO中）在病毒和蠕虫之前抢先发现网络漏洞近几年来，恶意代码的威胁发生了巨大的变化。到目前为止，威胁种类已超过了 72,000 种，每个月出现的新威胁类型达 200 多种。除“传统”病毒

29、威胁以外，我们还面临着大量邮件群发、常见 Internet 蠕虫、DDoS（分布式拒绝服务）攻击、后门木马程序以及 Zombie。如今的混合威胁也比以往更加智能化。它们能够利用多种攻击机制，将系统资源占用（以前只有黑客攻击才会用到）与病毒和 Internet 蠕虫的扩散能力结合起来展开攻击。今天，威胁的扩散速度也比以往快，在几小时，甚至几分钟内就能够扩散到全球范围。面对如此严峻的形势，IT 管理人员需要保护的设备也比以往大大增加，不仅要保护桌面计算机，而且要保护移动设备。最终的结果，就是在新威胁的出现与企业部署修补程序的能力之间形成了一个不断增长的“易损性窗口”。为了保护您的 IT 基础架构免

30、受攻击，您必须采用这样一种战略：既要利用传统的防病毒软件，又要采用前瞻性工具，在病毒和蠕虫之前发现漏洞所在，确保网络中所有的机器都能够得到保护。McAfee ThreatScan 能够进行前瞻性的扫描和报告，确定客户企业中的机器是否得到了保护和管理、是否存在安全漏洞、以及是否已经被感染。借助 ThreatScan，您将能够部署主动的预防措施，避免设备被感染，降低相关的成本，而不仅仅是针对感染问题采取“响应型”措施。主要优势 识别出以往没有被发现、没有得到管理的机器，将容易受到网络感染的机器标记为“未保护”机器或“存在漏洞的”机器，从而提升安全策略的兼容性。 抢在“即将爆发”的新病毒或蠕虫之前发

31、现客户企业的漏洞。 对病毒、蠕虫或木马程序所使用的活动网络端口进行识别，从而在获得病毒定义之前，对新的威胁进行前瞻性的检测。 利用详细的图形化报告对企业中的漏洞进行快速、简单的跟踪。识别出以往没有被发现、没有得到管理的机器在今天，要想击败恶意代码的攻击，首先就要保持一个高水平的策略兼容性 也就是确保网络中的机器都得到了妥善的保护。但是，如果对象无法衡量，也就无法对其进行管理。如果要对一台机器进行管理，就要确认它是真实存在的。目前，很多企业都被那些自己没有发现的、没有保护和管理的、以及存在安全漏洞，极易受到攻击的设备搞得不知所措。而 ThreatScan 则能够识别出连接到网络的所有设备，并能够

32、提供相关的详细信息，包括机器名、操作系统（包括服务包）、以及该机器是否为企业病毒防护管理解决方案的一个组成部分。找出整个网络中的安全漏洞目前，越来越多的威胁都是利用我们正在使用的操作系统和应用程序中的安全漏洞发起攻击的。这些漏洞为病毒和蠕虫提供了一个立足点，使它们能够轻易进入企业网络，并在机器之间、以及整个企业网络内迅速扩散。单就 Microsoft 产品来说，其 2002 版产品就需要 70 多个安全补丁，如此看来，软件维护并不是一个轻松的任务。除此以外，软件更新程序的容量也导致很多组织忽视了这项关键任务。ThreatScan 能够抢在病毒和蠕虫之前，发现网络中的漏洞所在。它还能够为用户说明这些威胁所带来的风险，以及应该如何解决这些问题。这包括容易受到攻击的应用程序、操作系统、网络协议、或者是以往的